IBM Cloud Docs
关于专用路径服务

关于专用路径服务

专用路径服务为 IBM Cloud 和第三方服务提供专用连接。 “专用路径”服务需要专用路径网络负载均衡器(NLB)在 IBM Cloud 上部署服务,以及一个虚拟专用端点(VPE)网关,供消费者连接服务。 流量停留在 IBM 主干上,而不遍历因特网。

供应商和消费者之间建立私人连接的典型流程如下:

  1. 提供程序将创建专用路径服务。
  2. 提供者将其专用路径服务与专用路径 NLB 相关联。
  3. 提供者与服务使用者共享相关信息,包括唯一的专用路径服务云资源名称 (CRN)。
  4. 使用者创建用于配置专用路径服务的 CRN 的 VPE 网关。 服务提供商会收到连接请求。
  5. 如果需要,提供者允许或拒绝使用者的请求并设置帐户策略 (或者,提供者可以设置帐户策略以自动允许或拒绝使用者请求)。
  6. 将通知使用者连接请求的状态。 如果允许,使用者可以访问服务; 如果拒绝,使用者可以联系提供者以获取更多详细信息。

有关更多信息,请参阅 专用路径解决方案指南

您完成以下操作的能力取决于与 IBM Cloud 帐户关联的 IAM 许可权级别。 有关更多信息,请参阅 必需许可权

专用路径服务入门

作为服务提供者,请执行以下步骤以开始使用:

  1. 确保您有一个虚拟专用云 (VPC),并且所选 VPC 中至少有一个子网。

  2. 创建专用路径 NLB。

    • 您可以在创建专用路径服务时创建专用路径 NLB,也可以使用 Load Balancer for VPC 供应页面来创建专用路径 NLB。 要创建独立于专用路径服务的专用路径负载均衡器,请参阅 创建专用路径网络负载均衡器
    • 您必须在同一 VPC 区域内为私有路径 NLB 和私有路径服务使用同一账户。

  3. 创建专用路径服务

    • 设置当帐户没有分配给它的特定策略时的缺省策略。 缺省策略 (复审) 允许您允许或拒绝每个请求,而 允许拒绝 在没有特定帐户策略的情况下自动执行连接请求的过程。
    • 立即或稍后为特定帐户标识创建帐户策略。 这些策略确定提供程序接收来自特定帐户的请求时要执行的操作,并优先于缺省策略。

专用路径服务用例

以下用例向您展示了使用专用路径服务的各种方式。

在所有“专用路径”使用案例中,都可以使用 ALB 策略功能来引导“专用路径”服务流量。

用例 1: 将服务连接到单个使用者

作为供应商,您希望在不通过互联网传输流量且不开放整个VPC的情况下,将您的服务与消费者连接起来。 您的消费者可能是您的客户、您公司的其他部门,或者别的什么。

该图展示了如何建立“私人定制”服务。 建立专用路径服务使您能够私下向客户公开服务。

首先,消费者的应用程序连接到消费者VPC中的VPE网关。 然后,VPE网关连接到提供商VPC中的专用路径NLB。 反过来,私有路径NLB连接到提供商的服务。 然后,供应商的服务通过直接服务器返回(DSR)响应消费者的要求。 此专用路径服务活动完全包含在 IBM Cloud 专用网络中的单个区域 (美国南部) 中。

向客户提供服务的专用路径
提供服务的专用路径* 不使用公共
向客户提供服务的专用路径* 向客户提供服务的专用路径

用例 2:将一项服务连接到多个消费者

该图展示了如何建立一条连接多个消费者VPE网关的专用路径服务。

首先,消费者的应用程序连接到消费者VPC中的VPE网关。 然后,VPE网关连接到提供商VPC中的专用路径NLB。 反过来,私有路径NLB连接到提供商的服务。 然后,供应商的服务通过DSR响应消费者的要求。 此专用路径服务活动完全包含在 IBM Cloud 专用网络中的单个区域 (美国南部) 中。

向多个客户提供服务的专用路径
不使用公共
向多个客户提供服务的专用路径* 向多个客户提供服务的专用路径

用例 3: 将服务连接到 VPC 中的客户

该图展示了如何建立一条专用路径服务,以连接到VPC中某个消费者的VPE网关。

如果需要增强“专用路径”网络负载平衡器的性能和可扩展性,可在单个 VPC 中使用“专用路径”服务。

首先,消费者的应用程序连接到供应商VPC内的消费者VPE网关。 然后,VPE网关连接到提供商VPC中的专用路径NLB。 反过来,私有路径NLB连接到提供商的服务。 然后,供应商的服务通过DSR响应消费者的要求。 此专用路径服务活动完全包含在 IBM Cloud 专用网络中的单个区域 (美国南部) 中。

向同一 VPC 内的客户公开服务的专用路径{: caption="内的客户公开服务的专用路径不使用公共" caption-side="bottom"}向同一 VPC 内的客户公开服务的专用路径向同一 VPC 内的客户公开服务的专用路径

用例4:启用 IBM Cloud连接提供商的VPC

私有路径允许在IBM Cloud服务(如IBM Cloud Code Engine和您的 VPC 之间建立连接,而不会影响安全性或使您的 VPC 面临风险。 Code Engine是一种多租户计算服务,可运行源代码或容器化工作负载。 其动态缩放功能可让您的应用程序根据接收到的请求自动放大或缩小,甚至缩放至零。 Code Engine 采用按使用付费模式,只对实际使用的计算能力收费。 有关详细信息,请参阅 IBM Cloud Code Engine

该图展示了如何建立一条专用路径服务,该服务连接到 Code Engine 应用程序的VPE网关和您的VPC。 首先,Code Engine 应用程序连接到 Code Engine 的VPC内的VPE网关。 然后,VPE网关连接到提供商VPC中的专用路径NLB。 反过来,私有路径NLB连接到供应商的应用程序。 然后,供应商的应用程序响应请求。 这项“私人路径”服务活动完全包含在一个区域(us-south )的 IBM Cloud 专用网络中。

使用Code Engine和专用路径来部署具有动态和静态扩展需求的复杂架构*
Code Engine和专用路径来部署具有动态和静态扩展
的复杂架构*

用例 5:使用带有专用路径 NLB 的 ALB 在 VPC 外部托管服务

下图说明了设置“专用路径”服务以将消费者服务连接到提供商端点的过程,端点可以托管在企业内部,也可以托管在可从提供商 VPC 访问的其他专用位置:

  1. 消费者的应用程序或服务连接到消费者 VPC 内的虚拟专用端点 (VPE) 网关。

    消费者的 VPC 可以是支持专用路径的 IBM 服务,如 MQ as a Service 或 Code Engine。 这样就可以实现连接,如将云上 MQ Queue Manager 与内部部署的 Queue Manager 相连接,或将 Code Engine 项目与内部部署的资源相连接。

  2. 然后,VPE 网关链接到位于提供商 VPC 中的专用路径网络负载平衡器(NLB)。

  3. 为使私有路径 NLB 能够到达其内部端点,提供商将其应用程序负载平衡器 (ALB) 添加为私有路径 NLB 的成员。

  4. 提供商将内部部署端点配置为 ALB 池成员。

  5. 最后,提供商使用 IBM Cloud Direct Link 将内部部署端点连接到其 ALB。

提供商可进一步利用 ALB 策略功能,将流量导向相关的 ALB 池和成员。 更多信息,请参阅 基于策略的负载平衡

建议在“专用路径”服务中启用“区域亲和性”,以确保从客户端到 VPE 网关的流量定向到同一区域内的“专用路径”NLB 和 ALB(如果可用),从而避免跨区域流量。

caption-side=bottom"